cambiada contraseña de root y dos usuarios nuevos, por alguien desde internet
Publicado: 28 Octubre, 2008 - 10:58 cambiada contraseña de root y dos usuarios nuevos, por alguien desde internet
DesconectadoHola a todos...
Pongo esto aquí por ser de seguridad y red, si no es el sitio, por favor decídmelo.
Veréis, tengo un problema y no encuentro información al respecto:
Me han aparecido dos usuarios nuevos ("cudel" y "cudy") que yo no he creado y se me ha cambiado la contraseña de root por otra que ignoro.
Esto me ha ocurrido con la máquina en funcionamiento (conectada a red-ADSL y bittornado descargando, logueado como usuario normal), de un dia para otro.
Evidentemente, esto es un serio problema de seguridad, porque la cosa viene de fuera (sólo yo uso esta máquina, y está en mi casa).
¿Alguien tiene alguna idea sobre esto?
Gracias y saludos.
PD. Me refiero a Mepis 7.9.80 beta (Lenny) con las actualizaciones disponibles.
- Inicie sesión o regístrese para enviar comentarios
- 523 lecturas
Relacionado con cambiada contraseña de root y dos usuarios nuevos, por alguien desde internet
No se que decirte, revisa auth.log.
Tienes algún servicio de consola remota? telnetd o openssh-server?
Hola, gracias por responder.
Tengo efectivamente openssh instalado (telnet no), y XDMCP activado.
Mi red es: dos máquinas con dos tarjetas cada una. Cada máquina tiene una tarjeta con una red 192.168.2.x y cable cruzado, y otra 192.168.1.x a un router-módem con todos los puertos abiertos.
Ya sé ..., seguridad 0, pero nunca había tenido problemas, y supongo que me confié ...
En auth.log veo que el usuario root ha iniciado y cerrado sesión a las 6 y 7 de la mañana (¿lanzado por CRON ?) y yo no he sido, a esas horas duermo.
A ver si me podéis echar una mano
Gracias.
----------------------------------------------------------------------------------
root@k8mepis:~# less /var/log/auth.log
Oct 28 06:34:02 k8mepis CRON[12688]: pam_unix(cron:session): session closed for user root
Oct 28 07:17:01 k8mepis CRON[24144]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 28 07:17:01 k8mepis CRON[24144]: pam_unix(cron:session): session closed for user root
Oct 28 08:17:01 k8mepis CRON[4716]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 28 08:17:01 k8mepis CRON[4716]: pam_unix(cron:session): session closed for user root
Oct 28 09:17:01 k8mepis CRON[17686]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 28 09:17:01 k8mepis CRON[17686]: pam_unix(cron:session): session closed for user root
Oct 28 09:42:46 k8mepis su[23265]: pam_unix(su:auth): authentication failure; logname= uid=1001 euid=0 tty=pts/2 ruser=usu rhost= user=root
Oct 28 09:42:48 k8mepis su[23265]: pam_authenticate: Authentication failure
Oct 28 09:42:48 k8mepis su[23265]: FAILED su for root by usu
----------------------------------------------------------------------------------
Busca algo como:
Oct 28 09:42:48 k8mepis sshd[23604]: (pam_unix) session opened for user root by root(uid=0)Así se ve un acceso remoto a través de sshd.
Supongo que ya desconectaste esa maquina de intenet y cambiaste la contraseña de root verdad?
Hola, a partir de las 9:42 soy yo el que intenta acceder y no me deja.
Ya he cambiado la contraseña, desde luego, ( para más vergüenza mía era "root" ).
En fin, a palos se aprende.
Pero sobre todo me interesa saber que me hicieron, y como.
Un saludo
Hola, a partir de las 9:42 soy yo el que intenta acceder y no me deja.
Ya he cambiado la contraseña, desde luego, ( para más vergüenza mía era "root" ).
En fin, a palos se aprende.
Pero sobre todo me interesa saber que me hicieron, y como.
Un saludo
Si tienes un servicio externo como es el ssh, no puedes pretender tener una contraseña de root ni de nada como esa.
Lo que te ha pasado es que han visto que había un linux por ahí con una ip, y se han puesto a probar a conectarse (probablemente un bot) por ssh, probando contraseñas de root mediante diccionario... pero vamos que vegüenza me daría tener una contraseña como esa.
Y una vez dentro, como root habrán hecho lo que les ha dado la gana. Puede que tengas un troyano por ahí, que te hayan troyanizado cualquier servicio, etc. etc. Vamos que si hubieran sido finos ni te habrías enterado de nada, pero bueno, son un poco chapuzas.
Yo en tu lugar, formateaba, porque de ninguna forma puedes saber si te han troyanizado algo. Y para otra vez, quita el ssh, o pon una contraseña alfanumérica de más de 4 caracteres por favor...
Pues vergüenza si que me da, pero bueno, tampoco tengo nada del otro mundo en la máquina (ésta la tengo para todo tipo de burradas), y además es raro que me dure instalado mas de 3 meses (éste lleva dos semanas), siempre ando probando distribuciones ...
Lo que me importa más es saber como lo hicieron, no tanto que lo hayan hecho.
Si es simplemente por ssh y contraseña, pues me da igual, francamente. Pongo otra, me cargo los usuarios, limito el acceso al ssh y XDMCP por la red interna, y listo.
Un saludo.
Lo que me importa más es saber como lo hicieron, no tanto que lo hayan hecho.
Si es simplemente por ssh y contraseña, pues me da igual, francamente. Pongo otra, me cargo los usuarios, limito el acceso al ssh y XDMCP por la red interna, y listo.
Un saludo.
Comprueba el auth, y todos los comprimidos que se van haciendo, y probablemente encuentres un montón de intentos de conexión (o no muchos porque con esa contraseña...), y luego si no han borrado el historial de root puedes ver lo que han hecho. Pero si lo han borrado no verás nada. No obstante te repito, una máquina en la que han comprometido la cuenta de administrador hay que limpiarla desde cero, porque han podido hacer cualquier cosa y no lo sabes. Y por mucho que cambies la contraseña de root y borres los usuarios si han dejado una puerta trasera, te da igual, así que formatea que ya estás tardando.
y añado:
tampoco tengo nada del otro mundo en la máquina (ésta la tengo para todo tipo de burradas)
el problema no es lo tú tengas en ésa máquina sino lo que desde ella pueden hacer
Añado, NUNCA se debe poder conectar por ssh como root. No se como el que mantiene el paquete de ssh permite eso por defecto. Simplemente hay que cambiar un yes por no en sshd.conf (o era ssh.conf??... lo que sea xd)
Lo que hay que hacer es loguearse como usuario normal, y luego su.
Y lo de que puedan hacer ataques de diccionario, otro mala configuración por defecto. Se deben limitar el numero de accesos, y sino la ip al blacklist (esto tengo que mirar como hacerlo, porque supongo que irá por configuración del ssh y no por iptables)
Y lo de que puedan hacer ataques de diccionario, otro mala configuración por defecto. Se deben limitar el numero de accesos, y sino la ip al blacklist (esto tengo que mirar como hacerlo, porque supongo que irá por configuración del ssh y no por iptables)
El compañero Otilio publicó una entrada sobre el tema.
También puedes utilizar DenyHosts.
Salu2.